НОСИТЕЛИ ЭЦП

Что такое флешка и токен электронной подписи

Как выглядит электронная подпись на флешке? Обычная флешка и токен — это не одно и то же, главное отличие в том, что токен является защищённым носителем электронной подписи. Внешне флешка похожа на токен, но работать с ЭЦП с неё нельзя.

Токен — общее название носителя ключей для электронной цифровой подписи, которая необходима для подтверждения юридической значимости документа, его неизменности в дальнейшем. На практике его часто называют носителем ЭЦП, аппаратным либо программным ключом.

Почему обычная флешка не подойдёт?

Обычная флэш-карта не может быть использована в качестве носителя ключа электронной подписи, так как не может его защитить. Объём самого носителя не играет здесь роли, так как даже токены, которые вмещают большое количество подписей, не превышают объём в 144 Кбит.

Электронная подпись должна храниться на защищённом носителе. Есть разные виды носителей, но их можно разделить две категории: смарт-карта и токен. Они выполняют одни и те же функции, но у каждого типа есть свои особенности.

Чем отличаются друг от друга эти носители и что лучше купить? Мы расскажем подробно в этой статье.

Из нашей статьи вы узнаете:

Квалифицированная электронная подпись должна храниться на специальном защищённом носителе — токене или смарт-карте. Обычная флешка для этой задачи не подойдёт ввиду того, что она не защищена криптографическими алгоритмами.

Как выглядит ЭЦП на флешке и где купить специальный носитель, мы расскажем в этой статье.

Чтобы бесплатно получить подпись в ФНС, индивидуальный предприниматель, юридическое лицо или нотариус должны приобрести специальный токен. Токен — это носитель электронной подписи, он служит для хранения ключа ЭП и его использования.

В этой статье мы разберёмся в том, какие носители существуют, в чём разница между ними и расскажем, как с ними работать и какие ошибки могут возникнуть во время их эксплуатации.

Что это такое и для чего нужны?

Токен — это небольшое устройство, которое внешне напоминает обычную флеш-карту. Он может быть как со входом USB, так и micro-USB, что расширяет зону его применения. Вместо области для хранения файлов, в токене находится чип с защищённой памятью.

Смарт-карта — это пластиковая карта со встроенной микросхемой. В этом их главное отличие. Она может использоваться, например, для того чтобы пройти в какое-то помещение.

Оба вида носителей выполняют одни и те же функции:

Носители различают по следующим критериям: производитель, внешний вид, аппаратная криптография, объём защищённой памяти, цена, дополнительные опции, поддержка тех или иных операционных систем и необходимое программное обеспечение для работы.

Токены могут различаться также и по максимальному количеству электронных подписей, которые можно на них установить. Например, если размер носителя 64 Кб, то на него можно установить до 8 электронных подписей.

Объём защищённой памяти варьируется от 32 до 128 Kb, в зависимости от производителя. Некоторые модели могут содержать дополнительную flash-память для автоматического запуска необходимого программного обеспечения. Большинство токенов поддерживает множество версий Windows, а также Mac OS X и GNU/Linux.

Несмотря на все отличия, носители служат одной цели. Мы рекомендуем при выборе токена обращать внимание на то, подходит лишь ваша операционная система или нет для работы с данным носителем. При необходимости можно покупать карту с дополнительными опциями.

Идентификаторы Рутокен со встроенным Flash-диском.

Токены с Flash-памятью — комбинированные аппаратные решения, объединяющие в одном корпусе электронный идентификатор Рутокен и Flash-диск без увеличения габаритов устройства. Flash-память может быть как неуправляемой, так и защищенной управляемой.

Если Рутокен оснащен неуправляемой памятью, то пользователь получает к ней доступ сразу же после подключения токена к ПК, без необходимости совершения дополнительных действий. Такую память можно использовать, для хранения дистрибутивов или запуска программного обеспечения непосредственно с токена. Например, поместить в неё программу для электронной подписи документов, что позволит работать на любом компьютере, без установки дополнительного ПО.

Доступ к управляемой защищенной Flash-памяти на чтение и/или запись может предоставляться только после ввода пользователем персонального PIN-кода. P IN-код защищен от взлома подбором, поскольку после нескольких неудачных попыток ввода, доступ будет заблокирован. Перенос Flash-памяти на другой токен или подключение её напрямую к считывателю не позволит получить доступ к данным.

Рутокен ЭЦП 3. 0 3220, серт. Ф СБ инд. Рутокен ЭЦП 2. 0 2100, серт. Ф СБ инд.

Снимается с производства в связи с выходом новой продуктовой линейки. Преемником данной модели является устройство Рутокен ЭЦП 3.0 3220, серт. Ф СБ, обратно совместимое с Рутокен ЭЦП 2.0 2100, серт. Ф СБ.

Назначение

Для повышения удобства работы и хранения данных веб-сайт rutoken.ru использует файлы COOKIE. Продолжая работу с веб-сайтом, Вы даете свое согласие на работу с этими файлами.

Отличие rutoken от простой флешки

Изучив описание устройства я выяснил, что rutoken аппаратно поддерживает только симметричный ГОСТ.

Получается, что по сути, он не отличается от простой флешки, за исключением наличия PIN-кода и комплектного ПО, которое предоставляет собственный провайдер и специфичные утилиты.

Правильно ли я все понял?

Алексей Несененко

Получается, что по сути, он не отличается от простой флешки, за исключением наличия PIN-кода и комплектного ПОПравильно ли я все понял?

Это два совершенно разных устройства похожие только своим формфактором и разъемом.

Основной задачей флешки является хранение больших объемов информации. На сегодняшний день это гигабайты. Фактически для компьютера это диск. Количество циклов перезаписи 10 тысяч.

Основной задачей токена является безопасное хранение ключей шифрования и ЭЦП, которые извлекаются из его памяти по предъявлении PIN. Для этого большой объем памяти не нужен — отсюда и небольшая память ключей от 32 кб до 128 кб. Для компьютера токен не является диском. Доступ к его памяти возможет только с помощью специализированного ПО. Количество циклов записи в память 1 миллион.

Токен это устройство, которое предназначено для доступа к ресурсам компьютера, защиты электронной переписки и как хранилище конфиденциальной информации (пароли, ключи и т.д.). Токен это по сути USB-аналог смарт-карты. То есть микро ЭВМ со своей собственной операционной системой. При выполнении основной своей функции — аутентификации — он выполняет криптографический процесс (на сегодняшний день это только ГОСТ) описанный производителем при помощи своего фирменного программного обеспечения. Необходимый для выполнения этих операций по шифрованию ключ находится на токене.  Таким образом на самом токене, во-первых, надежно хранится секретный ключ, а во-вторых, здесь же обрабатывается алгоритм шифрования.

Дополнительно есть ключи со встроенной радиочастотной меткой. Благодаря этой метке токены могут использоваться вместо смарт-карты для доступа в помещение.

Gelik

Алексей, спасибо Вам за развернутый ответ.

Однако, еще раз поясню мои сомнения. В наше время бурно развиваются веб-сервисы, для доступа к которым используется протокол https ( SSL/TLS), т.е. основанные на шифровании с открытым ключем, поэтому особый интерес представляет сохранение в целости и сохранности приватных ключей. В моем понимании, ключ находится в «целости и сохранности», если он не покидает места своего хранения, т.е. токена. Однако, если ваш токен аппаратно реализует только ГОСТ, то и безопасно хранить он может только ГОСТ. Остальные данные (RSA-ключи и т.п.), свободно путешествуют от токена к компьютеру и обратно и могут быть перехвачены, например, трояном.

Поэтому, с точки зрения хранения RSA-ключей, аналогом rutoken может являться флешка с установленной программой Truecrypt, например.

Поправьте, если я не прав.

Планируется ли выпуск токена с аппаратной поддержкой RSA?

Николай Фатеев

Насчет планов: приоритетным для нас является выпуск токена с асимметричным ГОСТом (российский рынок — российский алгоритм). Вопрос с RSA остается пока открытым.

Николай, все верно.

Добавлю еще один момент: если ключи не покидают токен, то их невозможно сдублировать, даже если известен PIN-код.

Vladimir Ivanov

Различные приложения требуют различного уровня безопасности. В подавляющем большинстве случаев совершенно не требуется выполнять асимметричные криптографические преобразования «на борту». Весь вопрос в стоимости решения.

Вопрос в том, каким образом эти ключи будут извлекаться из этой флэшки. Придется городить огород, вместо того, чтобы использовать стандартные средства и интерфейсы.

Ключевой носитель Esmart USB

Сертифицированные носители ЭЦП, которые могут быть использованы для хранения электронной подписи любого типа. Токен можно использовать для сдачи отчетности и отправки документов в государственные органы, участия в торгах, хранения сертификатов для работы в специальных электронных системах, работы в сетях удаленного защищенного доступа VPN, с корпоративной почтой. Решение полностью совместимо с ключевыми партнерскими продуктами: «КриптоПРО», «КриптоАРМ», «Сигнал-КОМ», «ИнфоТеКС», «Ред ОС» и некоторыми иными. Токен полностью совместим со всеми основными операционными системами: Windows (начиная с версии XP), Linux, Mac OS.

Какие носители бывают

Носители электронной подписи бывают двух видов:

Важно: в ФНС флешку для электронной подписи нужно приносить вместе с сертификатом на неё.

Носитель электронной подписи JaCarta

Для повышения безопасности имеются ключи с генераторами одноразовых паролей.

JaCarta-2 SE было представлено компанией «Алладин» на профильной выставке в 2017 году. Визуально токен имеет, в зависимости от исполнения, вид смарт-карты, USB-накопителя, которые выполнены в классическом для компании черном цвете с оранжевой каймой. Сегодня решение сертифицировано по последним требованиям ФСБ, что подтверждает высокую степень криптографической безопасности и наличие полного набора функций. Среди особенностей и дополнений, внедренных при разработке JaCarta-2 SE, отметим:

Рутокен с неуправляемой памятью

Премиальная версия Рутокен Lite 64Кб оснащенная Flash-памятью. Под заказ доступны токены с памятью 16 – 64Мб.

Flash-память используется для хранения небольших дистрибутивов или программ, запускающихся при подключении токена к ПК.

Как работать с носителями

Мы говорили об этом раньше, но напомним — токен должен быть сертифицирован ФСТЭК России или ФСБ России. Только на такой носитель УЦ ФНС сможет установить электронную подпись и, соответственно, только с таким носителем сможет работать индивидуальный предприниматель, юридическое лицо или нотариус.

Порядок получения электронной подписи на токен выглядит следующим образом:

Чтобы полноценно работать с установленной на токен электронной подписью, нужно выполнить ещё несколько действий. Главное — на компьютер нужно установить криптопровайдер «КриптоПро CSP», это требование налоговой. Остальное зависит от выбранного носителя: нужно будет установить драйвер для работы с токеном.

Порядок работы с носителями очень прост: в случае с Рутокеном, который является самым распространённым российским носителем, достаточно установить драйвер и воткнуть сам токен в гнездо USB. Настройка носителя осуществляется в специальной панели управления, которая устанавливается вместе с драйвером.

После выполненных действий электронную подпись можно будет использовать по назначению: подписывать электронные документы, работать с государственными порталами и участвовать в закупках.

Как работает USB-токен

Работает токен по принципу взаимосвязи между сертификатом электронной подписи и её закрытым ключом. Смысл заключается в том, что токен защищает ключ (доступ к нему возможен только при наличии секретного кода) и одновременно предоставляет возможность его использования.

Когда нужно подписать документ, на помощь токену приходит криптопровайдер. С его помощью и подписывается тот или иной документ.

Носитель электронной подписи eToken

«Е-токен» — мировой бренд, принадлежащий компании Thales/Gemalto, специализирующейся в том числе на разработке и производстве решений для персональных средств аутентификации. Продукты компании сегодня имеют сертификаты ФСТЭК и ФСБ, что позволяет их использовать для хранения ЭЦП любого типа и применять для подписи отчетов, ведения переписки, участия в тендерах и для других целей.

Особенность токенов — в широком выборе форм-факторов, где пользователю предоставлен выбор между классическими вариантами в виде USB-накопителей, а также смарт-картами, ОТР-токенами, виртуальными эмуляторами смарт-карт.

Какие могут возникнуть ошибки

Во время работы с токеном могут возникать ошибки, которые может исправить либо сам пользователь, либо организация, выдавшая носитель. Рассмотрим основные ошибки, которые возникают при работе с Рутокеном.

Носитель ключа электронной подписи нужно хранить в недоступном для посторонних лиц месте, чтобы избежать компрометации. Использовать его нужно чётко в соответствии с прилагаемой инструкцией, а при возникновении проблем — пользоваться вышеуказанными методами их решения или обращаться в службу поддержки.

Сервисы «Калуга Астрал» для бизнеса

Экосистема клиентского сервиса под любые потребности: от ЭЦП до проверки контрагентов

Гибкие тарифы и низкие цены

Оставьте заявку и мы свяжемся с вами

Какой должен быть объём у флешки для электронной подписи

Объём защищённого токена сильно отличается от объёма обычной флешки — он в разы меньше и зависит от модели — от 32 Кб до 144 Кб. Однако даже токен с самым маленьким объёмом может вмещать несколько электронных подписей, так как они занимают очень мало виртуального пространства.

Виды токенов

Носитель сертификата электронной подписи может иметь встроенное СКЗИ — средство криптографической защиты информации. Если СКЗИ не встроен в токен, его нужно покупать отдельно. Подойдёт, например, «КриптоПро CSP».

Ниже представлены примеры токенов компании «Актив».

Токены без СКЗИ

Токенов много — они различаются дополнительными функциями, например, наличием трёхфакторной аутентификации с помощью биометрии. Но основная функция у них одна — работа с электронной подписью.

Записать электронную подпись на обычную флешку можно, но работать с ней не представляется возможным из-за отсутствия каких-либо элементов защиты. Ни один удостоверяющий центр не выпустит электронную подпись на обычной флеш-карте.

Семейства носителей ЭЦП – Рутокен

«Рутокен» — торговый бренд российского разработчика «Актив», занимающегося разработкой и производством продуктов в области защиты информации. Токены компании имеют, в зависимости от типа, сертификаты ФСТЭК и ФСБ, что подтверждает безопасность и соответствие криптографических алгоритмов требованиям стандартов в сфере безопасности. Сейчас в линейку продуктов «Рутокен» входит большой перечень вариантов для решения задач по идентификации владельцев для использования в системах оборота документации, безопасности, контроля доступа.

К основным моделям «Рутокен» сегодня относятся

Универсальное решение для хранения ключей и сертификатов для ЭЦП без права их последующего экспорта на другие носители в системах клиент-банк. Устройство оказалось первым в России, которое получило сертификат ФСБ на соответствие обновленным стандартам в сфере криптографической безопасности. Особенность продукта — в отсутствии необходимости устанавливать дополнительно криптопровайдер и специальные драйверы при использовании современных операционных систем.

Решение рассчитано на использование в корпоративных сетях государственных организаций и учреждений, благодаря наличию криптографических алгоритмов, соответствующих требованиям регулирующих органов.

Особенность устройства — в возможности заверения ЭЦП документов на девайсах под управлением операционных систем на мобильных устройствах iOS, Android за счет подключения через Bluetooth, HID-устройства или разъем micro-USB.

Решение позволяет перед подписанием документа ЭЦП визуализировать его на экране монитора, а также имеет дополнительную защиту от фишинга, атак с подменой страницы непосредственно при подписи.

Токен позволяет подписывать документы ЭЦП, дополнительной опцией устройства стало наличие Flash-памяти объемом до 64 ГБ, наличие сертификата ФСБ о соответствии всем требованиям класса КС2.

Могут быть использованы одновременно для хранения ключей ЭЦП и аутентификации владельца устройства в системах удаленного доступа.

Дополнительно компания «Актив» предлагает токены для безопасного доступа и создания VPN-каналов для защищенной от посторонних действий работы с программами 1С, корпоративной почтой, удаленными файлами. Отдельную группу продуктов составляют решения для безопасной двухфакторной аутентификации на различных Web- и Saas-сервисах. Реализовано это на базе как токенов, так и специальных плагинов для совершения электронной подписи.

Как пользоваться электронной подписью с токена

Для работы, кроме токена, понадобятся ещё два элемента — криптопровайдер и правильно настроенное рабочее место. Криптопровайдер представляет собой программу, которая позволяет работать с ЭЦП. Правильно настроенное рабочее место — это подходящий компьютер и установленные дополнительные элементы, при их необходимости (например, КриптоПро ЭЦП Browser plug-in).

С помощью криптопровайдера удобно подписывать документы, а плагин для браузера позволяет работать на государственных порталах, участвовать в закупках и т.д.

Что выбрать, токен или смарт-карту?

Выбирать нужно то, что больше подойдёт именно вам.

Токен — это небольшой и мобильный носитель, который можно использовать на разных устройствах.

Смарт-карты удобны для стационарных компьютеров, но для них нужен специальный считыватель. Также их можно использовать в качестве пропусков.

Рутокен с управляемой защищенной памятью

Устройство объединяющее СКЗИ Рутокен ЭЦП 2.0 и управляемый защищенный Flash-диск объемом от 8 до 64 ГБ.

Операционная система устройства позволяет устанавливать режимы доступа к разделам Flash-памяти — скрытый, только для чтения, чтение и запись; для различных уровней доступа — гость, пользователь и администратор. Для получения соответствующего уровня доступа требуется ввод PIN-кода. при попытке подбора PIN-кода, доступ к памяти будет заблокирован.

При использовании совместно с продуктом , применяется для защищенного хранения критически важных данных большого размера, в том числе за пределами организации.

Является основой решения Рабочее место дистанционного сотрудника, где используется для хранения файлов ОС и дополнительного ПО, защищенного хранения документов пользователей, а также ключей и сертификатов для подписания электронных документов и выполнения двухфакторной аутентификации.

Программно-аппаратный продукт, базирующийся на Рутокен ЭЦП 2.0 Flash, предназначенный для организации защищенного доступа к web-сервисам и формирования электронной подписи.

В состав продукта входит программный клиент Рутокен TLS — приложение для организации удаленного подключения с защитой канала с использованием алгоритмов ГОСТ и администрирования устройства.

Flash-память используется для хранения программного клиента, и защищает его от модификации и подмены с помощью подсистемы контроля целостности.

После запуска программного клиента пользователь может работать с удаленными web-ресурсами с помощью браузера: устанавливать защищенный канал, выполнять аутентификацию, подписывать электронные документы, шифровать данные. Вся необходимая для этого информация и ключи хранятся в памяти устройства.

Рутокен TLS совместим с криптопровайдерами и TLS-серверами от компаний КриптоПро и ИнфоТеКС, а также поддерживается в продуктах Рутокен Плагин и Рутокен Коннект.

Какой носитель ЭЦП выбрать и где приобрести

Конкретный выбор между токенами при покупке и оформлении ЭЦП зависит от следующих факторов:

Одновременно для обеспечения информационной безопасности, предотвращения потери данных важно учитывать следующие моменты:

Подобрать подходящий носитель ЭЦП и оформить ЭЦП любого типа на выгодных условиях можно в удостоверяющем центре АО «Калуга Астрал». Все работы по формированию сертификатов будут выполнены не позднее двух дней с момента подачи заявки (также доступна возможность ускоренного выпуска — в течение 1-2 часов). Специалисты нашего удостоверяющего центра помогут подобрать подходящий сертификат с учетом специфики вашей работы.

Разновидности носителей электронной подписи

Сегодня в России сертифицировано для использования в качестве носителей ЭЦП несколько наименований токенов (ниже будут рассмотрены все виды отдельно и более подробно):

Смарт-карты

Что такое смарт-карта? Это обычная пластиковая карта со встроенным чипом. Чип содержит мини-операционную систему и пространство для хранения электронных подписей. Смарт-карта обладает всеми теми же функциями, что и токен, но в то же время у неё есть и свои особенности. Так, она может подключаться к считывателю с помощью прямого физического контакта или бесконтактно.

Все смарт-карты можно объединить в три группы:

Несмотря на то что обычно смарт-карты представлены именно в виде пластиковых карт, в других областях применения могут быть и другие форм-факторы.

Все токены внешне напоминают флешку и выполняют её функции — выступают в качестве носителя. Однако, в отличие от обычной флешки, токены являются защищёнными носителями: на них устанавливается пароль и в них встроены криптографические алгоритмы. Это сделано для того, чтобы максимально обезопасить хранимую на них электронную подпись от компрометации, то есть доступа постороннего лица к защищённой информации.

Мы лишь вскользь упомянем о том, что хранить электронную подпись можно и на компьютере, но это небезопасно. В то же время, с 1 января 2022 года, получить подпись для юридических лиц, индивидуальных предпринимателей и нотариусов можно будет только в удостоверяющем центре ФНС. И получатель должен иметь при себе токен, на который и будет загружен ключ.

К носителям выставлены определённые требования: они должны быть сертифицированы и соответствовать формату USB Type-A. К этому типу можно отнести следующие токены:

Вы можете приобрести в нашем магазине: JaCarta LTРутокен LiteРутокен ЭЦП 2.0

Можно ли использовать Рутокен как флешку

Использовать Рутокен и любой другой токен в качестве флешки не получится из-за ограниченного количества памяти, которой хватит только на электронные подписи.